Blog / claude-compliance

claude-compliance

Claude Pro og GDPR: ikke lovligt til persondata

Claude Pro og Free er ikke lovlige til virksomhedens persondata: ingen databehandleraftale og risiko for modeltræning. Se hvad du gør i stedet.

Thomas Cilius · 24. juni 2026 · 10 min læsetid

Indhold (7 afsnit)

Hvad er skygge-AI - og hvorfor er det dit problem som leder?
Grund 1: Ingen databehandleraftale - ingen lovlig behandling
Grund 2: Dine samtaler kan bruges til modeltræning
Grund 3: Du mister kontrol og dokumentationsgrundlag
Hvad Pro ER god til
Hvad du gør i stedet
FAQ
Kilder og retsgrundlag

En af de samtaler, jeg får oftest med ledere og HR-chefer, starter sådan her: "Vi har ikke rigtig taget stilling til AI endnu - men jeg er ret sikker på, at folk bruger det på egen hånd."

Det er næsten altid rigtigt. Og det er præcis der, problemet begynder.

Skygge-AI - medarbejdere der bruger private Claude Pro-konti til arbejdsopgaver, fordi virksomheden ikke har givet dem et lovligt alternativ - er ikke primært en sikkerhedsrisiko. Det er en GDPR-risiko. Og den risiko er ikke abstrakt. Den starter, i det øjeblik en medarbejder taster kundeoplysninger, en medarbejderfil eller en kontrakt ind i en privat konto.

Denne artikel handler om, hvorfor det er et konkret juridisk problem - og hvad du gør ved det.

Hovedpointe: Claude Free, Pro og Max er forbrugerprodukter. For en privatperson er de fine. For en virksomhed, der behandler personoplysninger i dem, er de ikke en lovlig løsning - af én præcis grund: der er ingen databehandleraftale. Det er ikke en holdning. Det følger af GDPR artikel 28.

Hvad er skygge-AI - og hvorfor er det dit problem som leder?

Skygge-AI er ikke ondskabsfuldt. Det er rationelt. Medarbejderen har et stressende deadline, hun har hørt, at Claude er god til at opsummere lange dokumenter, og hun er allerede abonnent privat. Så hun gør det, der giver mening i øjeblikket.

Problemet er, hvad hun lægger ind i den samtale. Måske er det et mødereferat med kundenavne og -telefonnumre. Måske er det en medarbejdervurdering. Måske er det en juridisk kontrakt med navngivne parter.

Og i det øjeblik er din virksomhed begyndt at behandle personoplysninger via en kanal, I ikke har en aftale med - og som ikke er sat op til det. Det er ikke medarbejderens fejl. Det er et ledelsesansvar.

Løsningen er ikke et forbud. Det er at give folk et lovligt alternativ - og forklare, hvorfor det overhovedet betyder noget.

Grund 1: Ingen databehandleraftale - ingen lovlig behandling

Her er kernen. GDPR artikel 28 siger, at når en virksomhed lader en tredjepart behandle personoplysninger på sine vegne, skal der være en skriftlig databehandleraftale. Altid. Uden undtagelse.

Anthropic deler sine planer i to juridisk forskellige verdener:

Forbrugerplanerne - Free, Pro og Max - kører på Consumer Terms. Disse vilkår indeholder ingen databehandleraftale.
De kommercielle planer - Team, Enterprise og API - kører på Commercial Terms, som automatisk indeholder en databehandleraftale.

Det betyder, at din virksomhed ikke selv kan beslutte at bruge en Free/Pro-konto til persondata og håbe på det bedste. Aftalen er simpelthen ikke der. Du kan ikke erstatte den med en intern politik eller en god hensigt.

Det er ikke en bureaukratisk detalje. Det er hele forskellen på, om din virksomhed har et juridisk grundlag for det, I beder Anthropic om at gøre.

Grund 2: Dine samtaler kan bruges til modeltræning

Den anden grund er mere konkret og mere ubehagelig, hvis du forestiller dig kundernes reaktion.

På forbrugerplanerne (Free, Pro, Max) kan dine samtaler og kodesessioner bruges til at træne Anthropics modeller - medmindre du aktivt fravælger det. Det er opt-out, ikke opt-in. Og hvis du lader det være slået til, kan data opbevares i op til fem år.

Dette er ikke en teoretisk risiko. Det er et dokumenteret vilkår, som Anthropic opdaterede i august 2025. Eksisterende brugere fik frist til 28. september 2025 til at tage stilling. Du kan læse Anthropics egne opdateringer her: anthropic.com/news/updates-to-our-consumer-terms.

Billedet er det modsatte på de kommercielle planer: her bruger Anthropic som udgangspunkt ikke dine prompts eller output til modeltræning. Det er en af de centrale grunde til, at Team, Enterprise og API er sat op til virksomhedsbrug.

Forestil dig, at du skulle forklare en kunde, at et uddrag af dennes oplysninger potentielt er indgået i træning af en AI-model. Den samtale ønsker du ikke. Den undslipper du ved at sætte brugen korrekt op fra starten.

Grund 3: Du mister kontrol og dokumentationsgrundlag

GDPR artikel 6 kræver, at al behandling af personoplysninger har et lovligt grundlag - fx en interesseafvejning, et samtykke eller en kontrakt. Det grundlag skal du dokumentere og kunne fremvise.

Bruger du en privat Pro-konto, mister du tre ting på én gang:

Behandlingsgrundlaget mangler - du kan ikke dokumentere, at behandlingen i Claude er sket inden for de rammer, du har fastsat.
Fortegnelsen (krævet efter GDPR artikel 30) kan ikke opdateres korrekt, fordi du ikke ved, hvad der er sendt afsted.
Datastrømmene er usynlige for dig - du kan ikke reagere på et sikkerhedsbrud, du ikke ved eksisterer.

Det er ikke et hypotetisk problem. Datatilsynet har i sin vejledning om kunstig intelligens peget på, at manglende fokus på databeskyttelse ved AI-implementering er et gengående problem.

Hvad Pro ER god til

Lad mig være præcis: dette er ikke en kritik af Claude Pro som produkt. For privatpersoner er det et fremragende værktøj.

Og selv i en arbejdskontekst er der masser af opgaver, du kan løse med en privat konto - så længe du holder personoplysninger ude:

Udkast til tekster, præsentationer, e-mails - uden navne, CPR-numre, kontaktoplysninger
Sparring på strategiske spørgsmål, som ikke involverer konkrete personers data
Forberedelse til møder ud fra offentligt tilgængeligt materiale
Lære, eksperimentere og opbygge AI-kompetencer

Tommelfingerreglen er simpel: hvis du ville have ladet den linje stå i et offentligt dokument, kan du sende den til en privat Pro-konto. Hvis ikke, skal du bruge en kommerciel plan.

Hvad du gør i stedet

Det konkrete svar er ikke kompliceret: opgradér til mindst Claude Team.

Team-planen kræver minimum 5 pladser og koster ca. 20 USD pr. plads pr. måned (ved årlig betaling) eller ca. 25 USD ved månedlig betaling - tjek aktuel pris på claude.com/pricing, da priser kan ændre sig. Med Team-planen er databehandleraftalen automatisk en del af Commercial Terms, dine prompts og output bruges ikke til modeltræning, og du har det dokumentationsgrundlag, din fortegnelse kræver.

Har du behov for SSO, audit-logs, central styring af medarbejdernes adgang eller Zero Data Retention, er det Claude Enterprise og/eller API'en, du skal kigge på - men Team er det rigtige første skridt for de fleste virksomheder.

Det vigtigste er at give medarbejderne et lovligt alternativ. Et forbud uden et alternativ virker ikke. Det driver blot brugen endnu dybere i det skjulte - og dermed endnu mere uden for din kontrol.

So what

Hvad betyder det for din virksomhed?

Beslutningen

Er I i dag afhængige af, at medarbejdere bruger private Free/Pro-konti til arbejdsopgaver? Behandles personoplysninger i de konti? Så er I ikke i compliance, og det er ikke et spørgsmål om risikotolerance - det er et krav i GDPR artikel 28.

Handling de næste 30 dage

1) Kortlæg den faktiske brug: hvem bruger Claude, på hvilken plan, til hvad? 2) Beslut om I vil legalisere brugen - og gør det ved at opgradere til mindst Claude Team. 3) Kommunikér klart til medarbejderne: her er jeres nye, lovlige konto - og her er reglerne for, hvad I lægger ind. 4) Opdatér jeres fortegnelse (artikel 30) med behandlingsaktiviteten.

Risiko ved at vente

Den synlige risiko er Datatilsynets sanktioner. Den større, daglige risiko er skygge-AI: medarbejdere der allerede bruger persondata i private konti, fordi de ikke har fået et lovligt alternativ. Denne risiko lukker du ikke med et forbud - du lukker den ved at gøre det lovlige valg nemt.

Thomas’ vurdering

Claude Free og Pro er gode forbrugerprodukter - men ikke til virksomheders persondata. Det laveste niveau, der giver dig en databehandleraftale og holdbarheden til at sige 'vi har styr på det', er Claude Team. Opgradér, og giv medarbejderne de rammer, de mangler.

FAQ

Kilder og retsgrundlag

Anthropic: Consumer Terms · Commercial Terms · databehandleraftale (DPA) · opdatering om forbrugervilkår og træning (aug. 2025) · priser
EU-ret: GDPR art. 6 - lovlig behandling · GDPR art. 28 - databehandleraftale · GDPR art. 30 - fortegnelse · GDPR - fuld dansk tekst
Danmark: Datatilsynet om kunstig intelligens
Relaterede artikler: Komplet guide til Claude og GDPR · Claude Team og GDPR: den første compliant tier · Anthropics databehandleraftale gennemgået

Dette er generel information, ikke juridisk rådgivning til en konkret implementering.

Ofte stillede spørgsmål

Til tekster uden personoplysninger - fx at skrive en opsummering af et offentligt referat eller få idéer til en præsentation - er der ingen GDPR-problematik. Problemet opstår, når du taster personoplysninger ind: kundedata, medarbejdernavne og -e-mailadresser, CPR-numre, kontrakter med navngivne parter, eller andre oplysninger, der kan identificere en person. Her er en privat Pro-konto ikke en lovlig løsning, fordi der ikke er nogen databehandleraftale.

GDPR artikel 28 kræver, at din virksomhed indgår en skriftlig databehandleraftale med enhver, der behandler personoplysninger på jeres vegne. Uden den aftale er behandlingen ikke lovlig - uanset om leverandøren i øvrigt er seriøs og teknisk sikker. Anthropics Free og Pro kører på Consumer Terms, der ikke indeholder en databehandleraftale. Opgraderer du til Claude Team, Enterprise eller API, er aftalen automatisk en del af Commercial Terms.

Det afhænger af planen. På forbrugerplanerne (Free, Pro, Max) kan dine samtaler bruges til modeltræning, medmindre du aktivt fravælger det. Vælger du at lade det være slået til, kan data opbevares i op til fem år. Informationen kom med opdatering august 2025, og eksisterende brugere skulle vælge inden 28. september 2025. På de kommercielle planer (Team, Enterprise, API) bruger Anthropic som udgangspunkt ikke dine prompts eller output til træning.